新样本VT上50个引擎全过，跪拜大神代码解析，惊爆欧耶

显示全部楼层 · 发表于 2014-1-24 22:16:29

本帖最后由 275751198 于 2014-1-25 18:27 编辑

File name:	文档.zip
Detection ratio:	0 / 50

https://www.virustotal.com/en/fi ... nalysis/1390571658/

今天一位用户反映，一开机360拦截某程序联网下载，但是程序还不报毒。今天收到用户反馈的样本，果然360不杀，上传鉴定后360入库查杀。刚刚一传VT吓死我了，全不报啊。

下载样本的童鞋，不管杀软报不报，麻烦回个帖，不要100多次下载数回帖为个位数

显示全部楼层 · 发表于 2014-1-24 22:58:36

Some interesting strings

\360rp.exe\360sd.exe\360Tray.exe\zhudongfangyu.exe\KSafeSvc.exe\KSafeTray.exe\kxetray.exe\kxescore.exe\QQPCMgr.exe\QQPCRTP.exe\QQPCTray.exe\ravmond.exe\RsMgrSvc.exe\rstray.exe\BaiduSdSvc.exe\BaiduSdTray.exe\BDKVWsc.exe\BaiduSd.exe\KVMonXP.exe\KVPreScan.exe\KVSrvXP.exe\ccSvcHst.exe\MsMpEng.exe\msseces.exe
360sd\360safe\rising\KSafe\kingsoft\kaspersky lab\QQPCMgr\BaiduSd\Jiangmin\Norton AntiVirus\Microsoft Security Client

复制代码

http://hi.baidu.com/chinasinablog
http://chinasinablog.blog.163.com/
http://hi.baidu.com/tom3013

复制代码

这几个博客里边放的应该是一些奇怪的远程指令

显示全部楼层 · 发表于 2014-1-24 23:06:53

搜索了一下作者不小心就找到了一个全是毒的网盘。。。。。。。。

http://yun.baidu.com/share/home?uk=893275654&view=share

显示全部楼层 · 发表于 2014-1-24 22:19:15

本帖最后由 hx1997 于 2014-1-24 22:36 编辑

哦

据我精密的分析，这两个程序里隐藏了 PE 文件。

如 _EXCEL.EXE 在文件偏移 0x0004E20C 处有

显示全部楼层 · 发表于 2014-1-24 22:20:59

显示全部楼层 · 发表于 2014-1-24 22:27:42

不管下没下载样本，我都来回个帖。

显示全部楼层 · 发表于 2014-1-24 22:28:46

hx1997 发表于 2014-1-24 22:19
哦

回复后一看回复。

显示全部楼层 · 发表于 2014-1-24 22:29:42

显示全部楼层 · 发表于 2014-1-24 22:29:52

显示全部楼层 · 发表于 2014-1-24 22:31:45

avg不报
山山卫士不报
这个有问题吗

显示全部楼层 · 发表于 2014-1-24 22:46:39

过fs扫描

显示全部楼层 · 发表于 2014-1-24 22:47:56

本帖最后由 hx1997 于 2014-1-24 22:53 编辑

我把隐藏的文件 (DLL) 提取了出来，传到 VT 23 / 49
https://www.virustotal.com/en/fi ... nalysis/1390574685/

* 此文件可能不完整

[可疑文件] 新样本VT上50个引擎全过，跪拜大神代码解析，惊爆欧耶

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源